中国船级社CCS规范指南-《船舶网络安全指南》（2023年）

指导性文件

GUIDANCENOTES

GDI7-2023

中国船级社

船舶网络安全指南

2023

2023年5月1日生效

北京

船舶网络安全指南

目录

第1章通则.................................................................1

第1节一般规定.........................................................1

第2节术语及规范引用..................................................2

第3节船舶网络安全分级及附加标志.....................................7

第4节免除申请.........................................................8

第2章产品网络安全要求...................................................10

第1节一般规定........................................................10

第2节产品网络安全分级...............................................11

第3节系统要求........................................................11

第4节程序要求.......................................................20

第3章产品检验/评估.......................................................21

第1节一般规定.......................................................21

第2节测试验证.......................................................23

第4章船舶网络安全要求...................................................27

第1节一般规定.......................................................27

第2节M标志要求.....................................................27

第3节P标志和S标志要求.............................................29

第5章船舶网络安全检验...................................................43

第1节一般规定.......................................................43

第2节初次入级检验...................................................45

第3节建造后检验.....................................................46

附录1船舶CBS风险评估..................................................47

附录2船舶网络安全管理...................................................52

附录3船舶网络安全评估报告（产品）......................................62

附录4船舶网络安全评估报告（船舶）......................................64

附录5船舶网络安全预评估表...............................................66

附录6船舶网络系统/设备评定表............................................68

附录7船舶工控系统防火墙设置附加建议....................................72

-1-

船舶网络安全指南

第1章通则

第1节一般规定

1.1.1适用范围

1.1,1.1本指南适用于申请中国船级社(ChinaClassificationSociety,CCS)船舶网络安

全附加标志的船舶及网络安全评估的船载计算机系统(ComputerBasedSystem,CBS),海

匕设施可参照执行。

本指南给出了船舶及船载计算机系统的网络安全要求。

本指南安全要求适用的船载计算机系统，系指利用数据对船舶及设备的物理过

程进行监测或控制，如受到网络事件影响，可能会对人员安全、船舶安全和/或环境造成危

害的船载0T系统，包括但不限于：

(1)推进系统；

(2)操舵系统：

(3)锚泊和系泊系统；

(4)发电和配电系统；

(5)火灾探测和灭火系统；

(6)货物管理系统(限于安全相关部分)；

(7)舱底水和压载水系统，压/排载控制系统，装载计算机系统：

(8)锅炉控制系统；

(9)洗涤塔控制系统和其他需要符合船级社或国际防污染公约相关要求的系统；

(10)水密完整性和进水探测系统；

(11)照明(如应急照明，低位照明等)和航行信号系统；

(12)任何其他中断或功能受损可能会对船舶运行造成风险的操控系统(Operation

TechnologySystem,OT系统)；

(13)与(1)-(12)采用网际互连协议(InternetProtocol,IP)连接的系统，其接口

在本指南网络安全要求适用范围内，如：

①乘客或访客服务和管理系统；

②面向乘客的网络；

③办公管理网络；

④船员娱乐系统：

⑤任何永久或暂时连接到OT系统的其他系统(如维护期间)。

与(1)-(12)处于同一安全区域的其它系统应满足本指南网络安全要

求。

对于航行和无线电系统，可采用IEC6I162-460或IEC63154标准可以作为本

指南的替代，其采用的安全标准应不低于本指南要求。

不在-范围内的计算机系统可参考本指南网络安全要求。

1」.1.7本指南网络包含指南适用系统以及支撑其稳定、安全、可靠运行的网络，包括

计算、安全、存储、通信及网络等设备。

第1页

船舶网络安全指南

1.1.2安全基本要求

本指南适用的CBS应满足本指南第2章适用要求。

申请本指南相关附加标志的船舶应满足本指南第3章要求，所包含在范

围内的CBS,还应满足本指南第2章适用要求。

判定船舶网络中CBS是否满足本指南相关要求，可按图1.123中流程进行。

船裁计和机系统

矮杏属于1.1.1是否属于觥行与无线是否与1.1.1.3所述CBS采用不卜是否申请对该系统进

的CBS电通信系统,基于IP的W络相连.行评估

接口按本指南相关要求进行

是否申请免除是否申请免除

检验

按照本指南，或CCS认可的标准

进行检验

是否符合免除要求免除本指南相关要求

按照本指南相关要求进行抬验

图1.123CBS安全检验/评估判定流程

第2节术语及规范引用

1.2.1术语及定义

访问控制(Acces3colitrol)：对系统交互能力和方式的选择性限制，包括使用

系统资源处理信息、获得系统信息和知识，或控制系统部件和功能。

121.2资产管理(AssetManagement)：对任意数据，计算机或设备的控制。

121.3攻击面(AttackSurface)：未经授权的用户可以访问系统并提取数据的所有可

能点的集合。攻击面包括两类：数字和物理。数字攻击面包括连接到组织网络的所有硬件

和软件。这些包括应用程序、代码、端口、服务器和网站。物理攻击面包括攻击者可以物

理访问的所有终端设备，如台式机、硬盘设备、笔记本电脑、移动电话、可移动设备和随

意丢弃的硬件。

1.2.1.4认证(Authentication)：对实体特征的正确性提供保证。

121.5授权(Authorization)：防止未授权用户访问或使用系统，即规定了用户对数

据的访问权限。

121.6配置管理(ConfigurationManagement)：系统性地处理硬件、软件变化的操

作和程序，以保持系统或设备的完整性。

补偿措施(CompensatingCountermeasure)：替代或补充内在安全功能以满足

一个或多个安全需求的对策的解决方案。

第2页

船舶网络安全指南

121.8计算机系统(ComputerBasedSystem,CBS)：一种可编程的电子设备，或一组

可互操作的可编程电子设备，为达到一个或多个特定目的而组织起来，如信息的收集、处

理、维护、使用、共享、传播或处置•船载CBS包括IT和0T系统。CBS可以是通过网

络连接的子系统的组合。船载CBS可以直接或通过公共通信方式(如互联网)与岸上的

CBS、其他船舶的CBS和/或其他设施连接。

计算机网络(ComputerNetwork)：两台或多台计算机之间的一种连接，以通

过约定的通信协议进行数据通信。

0网络安全(CyberSecurity)：网络环境下存储、传输和处理的信息的保密性、

完整性和可用性的表征。

1网络攻击(CyberAttacks)：以访问、危及、损毁公司和/或船舶的系统和数据

为目的，针对IT和OT系统、计算机网络、个人计算机设备的任何型式的攻击性操作。

2网络事件(CyberIncident)：由恶意威胁者违反安全策略导致的影响系统完整

性、可用性和/或保密性的行为或事件。

121.13网络韧性(CyberResilience)：减少发生网络事件并减轻其影响的能力，这些

网络事件是由船舶安全操作的操控系统(OT)的中断或损坏引起的，这类中断或损坏可能

导致危及人身、船舶安全和/或对环境构成威胁。

4网络系统(CyberSystem)：集设施，人员,流程和通讯一体化,并集成网络

服务的系统，如信息管理系统、控制系统和访问控制系统。

121.15缺陷(Defect)：非预期的软件功能。

6纵深防御(DefenseinDepth)：集成人员、技术和操作能力的信息安全策略，

在组织的多个层次和任务中建立可变防护。

7隔离区(DemilitarizedZone,DMZ)：含有并将组织的对外服务提供给外部网

络的物理或逻辑子网。它的目的是加强内部网络对外部信息交换的安全策略，并在保护内

部网络免受外部攻击的同时，为外部、不受信任的源提供对可发布信息的受限访问。

121.18拒绝服务攻击(DenialofService,DoS)：网络攻击的一种类型，阻止合法和

授权用户访问信息，通常通过服务器缓冲区满溢的方式实现。分布式拒绝服务攻击是由网

络攻击者掌控多台计算机和/或服务器来实现拒绝服务攻击的。

121.19重要系统(EssentialSystem)：为船舶的推进、操纵和安全提供必要的服务的

计算机系统。重要服务包括“主重要服务”及“次重要服务”；主重要服务是指那些需要持

续运行以保持推进和转向的服务;次重要服务是指那些不一定需要持续运行以维持推进和转

向，但对维持船舶安全是必要的服务.

0防火墙(Firewall)：防止对网络系统设施和信息未授权访问的逻辑或物理阻

断。

1固件(Firmware):嵌入电子设备中的软件，为工程产品和系统提供控制、

监控和数据操作。这些通常是自带的，用户无法操作。

2加固(Hardening)：系指通过减少攻击面来降低系统脆弱性的行为。

3信息安全(InformationSecurity)：针对信息的安保措施，防止对其未经授权

第3页

船舶网络安全指南

的访问，关闭，修改或销毁。

1.2.1.24信息技术(InformationTechnology,IT)：不同于操控技术(OT),侧重于将

数据作为信息使用的设备、软件和相关网络。

1.2.1.25信息系统(InformationTechnologySystem,IT系统)：主要指使用计算机技

术，微电子技术，电气手段，管理船舶营运过程的数据及流程的系统。

1.2.1.26集成系统(IntegratedSystem)：为达到一个或多个特定目的而组织的由许多

相互作用的子系统和/或设备组成的系统。

1.2.1.27入侵检测系统(IntrusionDetectionSystem,IDS)：用以监测网络或系统活

动，探测恶意或违规操作，并进行报告的设备或软件应用。

1.2.1.28逻辑网段(LogicalNetworkSegment)：与"网段"相同，两个或多个逻辑网

段共享相同的物理组件

121.29网段(NetworkSegment)：本指南中，网段是指Layer-2以太网段(一个广

播域)@o

121.30网络交换机(NetworkSwitch/Switch)：通过使用分组交换来接收、处理数

据并将数据转发到目的地，从而将计算机网络上的设备连接在一起的设备。

121.31恶意软件(Malware)：泛指能传染计算机系统并影响其性能的软件。

121.32网络拓扑结构(NetworkTopology)：用传输介质互连各种设备的物理布局。

121.33网络传输介质(NetworkTransmissionMedia)：是网络中发送方与接收方之

间的物理通路，如同轴电缆、光纤、无线传输等。

4攻击性网络行为(OffensiveCyberManoeuvre)：导致OT或IT系统被拒绝、

降级、中断、破坏或操纵的行为。

121.35操控系统(OperationTechnologySystem)：即工业自动化控制系统，主要指

使用计算机技术，微电子技术，电气手段，使工业制造和运行过程更加自动化、效率化、

精确化，并具有可控性及可视性。

6操控技术(OperationalTechnology,OT)：用于监测和控制船载系统的设备、

传感器、软件和相关网络。操控技术系统可以被认为是专注于使用数据来控制或监测物理

过程。

121.37补丁(Patch)：旨在更新已安装软件或支持数据的软件，以解决安全漏洞和

其他错误或改进操作系统或应用程序。

8物理网段(PhysicalNetworkSegment)：同"网段"。物理组件不能与其他网

段共享外

①逻辑网络驻留在相同的物理网络上，但在数据链路或网络层(0S1Layer2和3)进行分段和管理。

②网络地址规划由其1P地址和网络掩码作为前缀。网络段之间的通信只能通过在网络层(OSIlayer

3)使用路由服务来实现。

③分段将网络划分为多个物理段或子网，对进出的数据包进行控制。网络层(OSIlayer3)和应用层

(OSILayer7)都能允许或阻止连接和数据交换。流量管理和包过滤都可以由单个软件或硬件设备来管

理。

第4页

船舶网络安全指南

121.39协议(Protocol)：网络中计算机用来通信的一组通用规则和信号。协议可以

实现数据通信、网络管理和安全。船载网络通常基于TCP/IP栈或各种现场总线实现通信。

0恢复(Recovery)：制定并实施适当的活动，以维持韧性计划，并恢复因网络

安全事件而受损的任何能力或服务。恢复功能支持用户及时恢复正常操作，以减少网络安

全事件的影响。

1风险评估(RiskAssessment)：为告知优先事项，建立行动方案，并告知决策

风险的数据收集和数值分配过程。

2风险管理(RiskManagement)：是一个识别、分析、评估和沟通风险并且接

受、避免、转移或控制风险到一个可接受的水平，考虑有关成本和效益举措的过程。

121.43路由器(Router)：一种用于建立通过一个或不止一个计算机网络的路径的功

能单元，例如从卫星通信网络将数据转至船用计算机网络。

4安全区域(SecurityZone)：在本指南的适用范围内需要相同访问控制策略

CBS的集合。每个安全区域由一个或一组接口组成，在这些接口上应用访问控制策略。

5船舶设计方/船厂(ShipDcsigner/Shipyard)：实施将船东提供的船舶规格演变

为完整船舶的过程，包括概念、合同和详细设计的管理。负责船舶建造，并负责在船舶建

造过程中满足适用规章制度的要求和实施船舶设计规范。同时，负责将供应商提供的系统

和产品集成为一个集成系统。

121.46船东/公司(Shipowner/Company)：船舶所有者或者其他组织或个人，如管理

者、代理或承租人，向船舶所有人承担船舶经营责任，并在承担责任后同意承担其相应的

义务和责任。在初始建造期间，船东可以是船厂或系统集成商(建造商或船厂)。交船后，

船东可以将部分责任委托给船舶经营公司。

121.47供应商(Supplier)：硬件和/或软件产品、系统组件或设备(硬件或软件)的

制造厂或提供者，包括作为系统或子系统一起运行的应用程序、嵌入式设备、网络设备、

主机设备等。供应商负责向系统集成商提供可编程设备、子系统或系统。

121.48系统(System)：为实现一个或多个特定目的而组织的交互可编程设备和/或子

系统的组合。

9系统类别(SystemCategory)：在IACSURE22中定义的基于其对系统功能

的影响划分的系统类别，分为I类、II类、III类系统，详细定义见CCS《钢质海船入级规

范》第7篇第2章263。

0系统集成商(SystemIntegrator)：负责将供应商提供的系统和产品集成到船

舶设计要求规定的系统中，并提供集成系统的特定人员或组织。系统集成商还可能负责船

上系统的集成。除非与其他组织签订合同/指定职责，否则该角色应由船厂承担。

1可信平台模块(TrustedPlatformModule,TPM)：一种植于计算机内部为计

算机提供可信根的芯片。

2不可信网络(Untrustednetwork)：在此指南的适用性范围之外的任何网络。

3虚拟局域网(VirtualLocalAreaNetwork,VLAN)：可使地理上分散的网络

节点像在同一物理网络里进行通讯。

第5页

船舶网络安全指南

121.54虚拟专用网(VirtualPrivateNetwork,VPN)：建立在现有物理网络之上的虚

拟网络，为网络或设备之间的数据传输提供安全的通信隧道，利用隧道、安全控制和端点

地址转换，提供专用线的使用感受。

5病毒(Virus)：一种隐匿、可自我复制的计算机软件，会恶意感染并操纵计算

机程序和系统的运行。

1.2.2规范性引用文件

指南引用下列参考文件。凡是注日期的引用文件，仅引用版本适用。

《工控网络与系统信息安全标准综述3-3：系统安全要求与安全保障等级》

(IEC62443-3-3),

第6页

船舶网络安全指南

第3节船舶网络安全分级及附加标志

1.3.1船舶网络安全分级

船舶网络安全分为5个级别

船舶网络安全分级表表

序号级别防御能力

1SLO最低网络防御能力

2SL1抵御偶发的网络事件

3SL2抵御利用少量资源发起的网络事件

4SL3抵御利用丰富资源发起的网络事件

5SL4抵御有组织有目的的网络事件

1.3.2船舶网络安全附加标志

132.1对于船舶，经申请，并经CCS审图和评估/检验合格，可授予船舶网络安全附

加标志：

CyberSecurity(M,P/S[SLx])

其中，M表示满足船舶网络风险管理要求，P表示满足船舶网络安全最低要求，S表示

满足船舶较高的网络安全要求。

(1)M应满足本指南第4章第2节要求；

(2)P应满足本指南第4章第3节中SLO时应的要求，CBS应不低于SLO对应的

要求，为船舶最低网络韧性要求；

(3)S分为4个等级(SL1〜SL4),应分别满足本指南第3章第3节中SL1〜SL4对应

的要求，CBS应不低于SL1〜SL4对应的要求。

船舶网络安全附加标志与网络韧性等级对应关系表

要求

范围

船舶级产品级

M满足网络风险管理-

PSLOSLO

本指南适用系统SL1SL1

SL2SL2

S

SL3SL3

SL4SL4

船舶在申请网络安全相关附加标志时，可根据船舶网络安全预期与船级社协商

确定应满足的网络安全等级。

132.3船舶网络安全附加标志的授予、保持、暂停、取消和恢复应符合CCS相关要

求。

1.3.3申请

申请CCS进行船舶网络安全检验/评估的系统和/或船舶，应向CCS或CCS的

当地分支机构提出书面申请，必要时可签订评估服务合同和/或协议。

第7页

船舶网络安全指南

第4节免除申请

1.4.1申请免除

当指南适用的CBS要免除相关安全要求时，应向CCS提出申请。

(1)申请免除的CBS应按142所列要求开展，并满足143网络风险控制要求，提

供相关CBS的网络风险评估报告，作为免除系统处于可接受风险水平的证据。

1.4.2CBS网络安全风险评估

网络安全风险评估应考虑CBS的类别，分析其预期运行环境(识别网络事件发

生的可能性及其对人身安全、船舶安全或海洋环境的影响)，分析攻击面(考虑CBS的连

接等级、可能的便携式设备接口、逻辑访问限制等内容)，从资产脆弱性、内部和外部威

胁、网络事件潜在影响等因素进行评估。

1.4.3CBS网络风险控制要求

当CBS满足以下全部条件时，可以免除网络安全相关要求：

(1)网络安全风险评估已充分考虑CBS可能的漏洞、面临的威胁及网络事件潜在的

影响;

(2)考虑到CBS的复杂性、连接性、物理和逻辑接入点(包括无线接入点)等因

素，CBS的攻击面已最小化；

(3)CBS的功能和作用不应受其他CBS或网络设备网络事件的影响，也不能将网络

事件的影响传播给其他CBS或网络设备；

(4)CBS不提供关键服务或多船服务；

(5)CBS位于受控访问区域；

(6)对CBS与其他CBS的连接进行充分的分析、确定和记录。尤其，CBS不得通

过基于IP网络连接到其他CBS或设备；

(7)CBS的物理接口应对不可信/不安全的可移动设备不可用；

(8)应对安装在CBS上的软件进行识别，并提供每个应用软件、操作系统和固件

(如适用)的用途、名称、版本、提供者和维护者的证据；

(9)CBS应制定维护策略，其中CBS不应与不可信网络建立永久或临时连接，或使

用不可信/不安全的可移动设备；

(10)CBS提供随时检查其功能完整性和服务质量的方法，包括检查硬件和软件完整

性；

(IDCBS应提供合适的接口，允许本地手动控制，此类接口不会扩大其攻击面(另

请参见(2)点)：

(12)事件响应计划和恢复计划应包含船舶发生网络事件时如何处理CBS的说明。

144免除批准

1.4.4.1提供按照142所列要求开展，满足1.4.3网络风险控制要求的CBS网络风险评

估报告。

144.2当不能满足143.1全部条件，但可以向CCS提供合理解释和证据，也可以申

请免除，CCS有权根据情况要求其提供附加文件。

144.3当网络风险评估能够证明不会影响操作安全时，CCS可接受其免除，其CBS

第8页

船舶网络安全指南

网络风险评估报告需经CCS审图验船师批准。

第9页

船舶网络安全指南

第2章产品网络安全要求

第1节一般规定

2.1.1一般要求

产品的网络安全要求应按本章要求执行，包括但不限于：

（1）本指南1.LL3包含的CBS；

（2）CCS认为必要的网络设备；

（3）申请方要求的其他系统/设备。

CBS中的主机、软件程序、嵌入式设备、网络设备、云设备等，满足的最低要

求应根据所在系统级别而定，网络设备还应满足本指南2.3.2的附加要求。

21.1.3网络设备系指网络中将各类服务器、终端设备、应用终端等节点相互连接的专

用软硬件系统/设备，包括网络交换设备（交换机、集线器、网桥等）、网络路由设备（路

由器等）、网络安全设备（防火墙、网关、入侵检测设备、安全审计设备、加解密设备

等）、网络接入设备（网络接口卡、无线接入点等）等。其中影响CBS基本功能或船舶航

行安全的网络设备应进行认可。这些网络设备也可与CBS系统•起进行认可。

船用产品的网络要求以安全要求为核心，其通信要求及可靠性要求以满足其业

务预期为基准。

产品网络安全要求以表所列七个要素为核心，根据产品网络安全分级，

提出了具体要求。

船舶产品网络安全要求要素表

序号基本安全要素说明

1标识和鉴别在允许访问系统之前，识别并验证所有用户（人员、软件进程和设备）

为通过身份鉴别的用户（人员、软件进程或设备）分配权限，以便系统执

2使用控制

行请求的授权操作，并监控权限使用情况。

3系统完整性确保系统的完整性，防止未授权操作

4数据保密性确保通讯信道和存储区域的数据的保密性，防止未授权的披露

5受限数据流通过区域和管道对系统进行分段，限制不必要的数据流动

对违背网络安全要求的行为作出响应，通知有关人员，报告必要的证据，

6事件及时响应

并在发现事件时及时采取措施

7资源可用性确保系统的可用性，防止重要服务受到影响或拒绝服务

对于航行和无线电系统，IEC61162-460可以作为SLO的替代，但在应用这些

标准时应确保产品具备与SL0要求的同等或更高的网络韧性。

2.1.2基本安全要求

安全措施不应影响重要系统功能（影响健康、安全、环境和设备可用性的功

能），除非经过了风险评估。

安全区域边界处于故障关闭状态或孤岛模式时，不应影响重要系统的基本功

能。

2.123系统在设计时，应确保船舶、系统、人员和货物安全所需数据的保密性、完整

性和可用性。

第10页

船舶网络安全指南

为满足一个或多个安全要求，可以使用补偿措施代替或补充固有的安全能力。

补偿措施应遵循以下原则：

（1）补偿措施应符合原规定要求的意图和严格性，应“高于和超出”其他要求（而

不仅仅是符合其他要求）；

（2）系统要求提供的安全能力，可以由其他设备或系统提供。对于系统的型式认

可，补偿措施应在CBS中实施，即不依赖于船上安装或操作程序相关的边界防护。

第2节产品网络安全分级

2.2.1产品网络安全分级

221.1产品网络安全分为5个等级（SL0-SL4）见表221.1。

船舶产品网络安全分级表221.1

序号分级本指南对应要求防御能力

1SLO满足CBS最低韧性要求（URE27）

2SL1抵御偶发的网络事件

3SL2见2.3-2.4节抵御利用少量资源发起的网络事件

4SL3抵御利用丰富资源发起的网络事件

5SL4抵御有组织有目的的网络事件

第3节系统要求

2.3.1CBS安全要求

标识和鉴别

（1）人员身份标识和鉴别

编号要求SLOSL1SL2SL3SL4

SR1.1CBS应能标识并鉴别所有访问系统的人员。VVVV

SR1.1

CBS应能唯一标识和鉴别所有人员。

RE1VV

SR1.1CBS应对通过不可信网络访问的人员采用多因素身份

J•①j②±V

RE2认证

SR1.1

CBS应对所有人员采用多因素身份认证V

RE3

（2）进程和设备标识和鉴别

编号要求SLOSL1SL2SL3SL4

SR1.2CBS应能标识和鉴别所有通过接口访问的进程和设备VV

SR1.2

CBS应能唯一标识和鉴别所有软件进程和设备

RE1V

（3）帐户管理

编号要求SLOSL1SL2SL3SL4

CBS应提供支持授权用户管理所有帐户的能力，包括

SR1.3VVVV

添加、激活、修改、禁用和删除

①J表示适用。

J*表示与不可信网络连接时适用。

②工表示IEC62443-3-3对应级别中不适用，但本指南中适用于与不可信网络相连的情形。

第11页

船舶网络安全指南

编号要求SLOSL1SL2SL3SL4

SR1.3

CBS应支持统一帐户管理的能力V

RE1

(4)标识管理

编号要求SLOSLISL2SL3SL4

CBS应提供通过用户、组、角色或控制系统接口支持

SR1.4VVVV

标识管理的能力

（5）鉴别管理

编号要求SLOSL1SL2SL3SL4

CBS应提供以下能力：

①初始化鉴别符（令牌、密码、指纹等）内容；

②CBS安装时要求修改所有鉴别符的默认值；

SRI.5VVVV

③修改/更新所有鉴别符；

④在存储和传输时，保护所有鉴别符不受未经授权

的披露和修改

SR1.5对于软件和设备用户，CBS应能通过硬件机制（如

V

RE1TPM）保护相关鉴别符

（6）无线访问管理

编号要求SLOSL1SL2SL3SL4

CBS应对无线通信的所有用户（人员、软件进程或设

SR1.6J7VV

备）进行标识和鉴别

SR1.6CBS应对所有使用无线通信的用户（人员、软件进程或

V

RE1设备）提供唯一标识和鉴别能力

（7）口令强度

编号要求SLOSL1SL2SL3SL4

对于口令认证的CBS,应能通过设置最小长度和多种

SR1.7VVVVV

字符类型，配置口令强度

CBS应防止任何人员在一定的口令更换周期内重复使

SR1.7

用密码。此外还应能限制人员口令的最短和最长使用VV

RE1

期限

SR1.7

应能限制所有用户口令的最短和最长使用期限V

RE2

(8)PKI证书

编号要求SLOSL1SL2SL3SL4

当采用PKI技术时，CBS应能根据最佳实践运行

SRI.8VV

PKI,或从现有PKI中获取公钥证书

（9）公钥认证强度

编号要求SLOSL1SL2SL3SL4

当采用公钥认证时，CBS应能：

①通过检查证书签名的有效性验证证书；

②通过构建到一个接受的可信CA的证书路径来验

证证书，或者在自签名证书的情况下，通过将子

证书部署到所有与颁发证书的主体通信的主机来

SR1.9验证证书；V

③通过检查给定证书的撤销状态来验证证书；

④建立用户（人员、软件进程或设备）对相应私钥的

控制；

⑤将已验证的身份映射到用户（人员、软件进程或设

备）

SR1.9CBS应根据普遍接受的安全行业实践和建议，通过硬

V

RE1件机制保护相关的私钥

第12页

船舶网络安全指南

(10)身份鉴别反馈

编号要求SL0SL1SL2SL3SL4

SR1.10CBS应在认证过程中对鉴别反馈信息模糊处理VVVVV

(II)失败登录尝试

编号要求SL0SL1SL2SL3SL4

CBS应能限制任何用户(人员、软件进程或设备)连续

无效访问尝试，尝试次数可配置；应能配置拒绝访问

SR1.11时间，或直至管理员解锁为止。VV

对于代表其运行重要服务或服务器的系统帐户，应能

禁止交互式登录

(12)系统使用告知

编号要求SL0SL1SL2SL3SL4

CBS应具有在身份验证前显示系统使用告知信息的能

SR1.12V*VVV

力。信息应能由授权人员设置

(13)不可信网络的访问

编号要求SL0SL1SL2SL3SL4

SR1.13CBS应能监测和控制所有通过不可信网络的访问方式V*VVV

SR1.13除指定角色的许可，CBS应拒绝不可信网络的访问请

VVVV

RE1求

231.2使用控制

(1)授权实施

编号要求SL0SL1SL2SL3SL4

CBS应能在所有交互接口上为所有人员分配权限，以

SR2.1VVVVV

控制系统的使用，支撑实施职责分离和最小特权

CBS应能在所有接口上为所有用户(人员、软件进程

SR2.1

和设备)分配权限，以控制系统的使用，支撑实施职V

RE1

责分离和最小特权

SR2.1CBS应能授权用户或角色，定义和修改所有人员或角

V

RE2色到权限的映射

SR2.1CBS应支持管理员在可配置时间或事件期间，手动覆

VV

RE3盖当前人员的授权8

SR2.1当某个操作可能严重影响船舶安全时，如操作模式切

V

RE4换，应支持双重许可/确认

①在发生紧急情况或其他严重事件时，需对自动机制实施受控、审计和手动覆盖。管理员利用当前用户

能够快速对异常情况做出反应，而无需关闭当前会话，再以更高权限的用户建立一个新会话。

(2)无线使用控制

编号要求SL0SL1SL2SL3SL4

CBS应根据普遍接受的安全行业惯例，授权、监测和

SR2.2VVV

限制无线连接的使用

SR2.2CBS应能识别并报告在系统物理环境中传输的未经授

V

RE1权的无线设备

(3)便携式和移动设备的使用控制

编号要求SL0SL1SL2SL3SL4

CBS支持便携式和移动设备的使用时，应能：

①将便携式和移动设备限制在设计允许或授权的范

SR2.3围内；VVVVV

②限制与便携式和移动设备之间的代码和数据传输

0

第13页

船舶网络安全指南

编号要求SL0SL1SL2SL3SL4

SR2.3CBS应能验证试图连接到某个区域的便携式或移动设

V

RE1备是否符合该区域的安全要求

0特定系统可接受端口限制/阻塞。

（4）移动代码

编号要求SL0SL1SL2SL3SL4

CBS应能控制移动代码技术的使用，如Java脚本、

SR2.4V7V

ActiveX和PDF

SR2.4CBS应能在允许代码执行之前，验证移动代码的完整

V

RE1性

（5）会话锁定

编号要求SL0SL1SL2SL3SL4

CBS应具备会话锁定能力，在可配置的不活跃时间后

SR2.5自动或手动启动。会话锁定将通过人员或其他授权人VVVVV

员重新进行身份验证建立访问

（6）远程会话终止

编号要求SL0SL1SL2SL3SL4

CBS应能在一段闲置时间后自动终止远程会话，或者

SR2.6rV

由发起会话的用户手动终止远程会话，该时间可配置

（7）并行会话控制

编号